Appearance
在大型企业推动 Copilot 采购时,法律、合规、安全三个部门是关键关卡。本页汇总了各团队最关注的材料指引:采购渠道对应的服务条款、合规认证文档地址、防火墙白名单、SSO/SCIM 集成说明,帮助 IT 主导者高效推进内部审批。
GitHub Copilot 企业采购审批资源包:给法务、合规和安全团队的材料
审批路径
企业采购 GitHub Copilot 通常需要经过以下团队的审查:
- 法律/隐私团队:服务条款、数据处理协议
- 合规团队:认证、审计日志、数据治理
- 信息安全/IT 团队:网络配置、认证集成、权限管理
以下按团队整理对应的材料。
给法律和隐私团队
关键文件取决于你的采购渠道:
| 采购方式 | 适用协议 |
|---|---|
| 直接从 GitHub 购买 | GitHub Generative AI Services Terms |
| 通过 Microsoft EA 购买 | Microsoft Product Terms + Microsoft Generative AI Service Terms |
| 数据保护 | GitHub Data Protection Agreement(适用于所有渠道) |
核心保证事项:
- 默认情况下,代码片段不用于训练 Copilot 模型(可通过隐私策略控制)
- 数据处理符合 GDPR、CCPA 等主要数据保护法规
- GitHub Data Protection Agreement 明确了数据主权和处理范围
给合规团队
合规认证
访问 GitHub Enterprise Trust Center,获取:
- SOC 2 Type II 报告
- ISO 27001 认证
- FedRAMP Moderate(如需 US 数据驻留)
- 合规问答文档(FAQ)
管控工具
向合规团队展示 Copilot 的管理能力:
- 功能策略:可以精细控制哪些功能开启/关闭
- 审计日志:所有管理操作和 Agent 会话均有日志记录
- 数据排除:可以配置哪些文件不被 Copilot 访问(内容排除策略)
- 模型限制:可以限制只使用 FedRAMP 认证模型
给信息安全和 IT 团队
防火墙和代理配置
需要在防火墙或代理服务器上配置白名单,允许 Copilot 访问以下类型的端点:
api.github.comcopilot-proxy.githubusercontent.com- 其他 GitHub 子域名(完整列表见官方防火墙白名单文档)
代理配置方法见网络设置指南。
认证集成
Copilot 支持以下企业认证机制:
- SSO(SAML/OIDC):成员通过企业 IdP 认证后才能访问 GitHub
- IP 白名单:限制只允许从特定 IP 段访问(适合 VPN 强制场景)
- 企业托管用户(EMU):企业完全掌控账号生命周期,员工离职自动失权
支持的客户端
Copilot 在以下客户端中工作:
- VS Code、Visual Studio、JetBrains 全家桶、Xcode、Neovim、Eclipse
- GitHub.com Web 界面
- GitHub Mobile(iOS/Android)
- Windows Terminal、Copilot CLI
所有客户端通过 GitHub OAuth 或 PAT 认证,流量通过 HTTPS 加密传输。
审批通过后
完成法律、合规、安全审批后,下一步是:
- 选择合适的 Copilot 企业计划(参见选择企业计划)
- 由企业管理员在 GitHub Enterprise 中开通 Copilot 并分配席位
- 配置功能策略和隐私策略
- 制定团队培训和推广计划
常见问题
Q: GitHub 会把我们的代码用于训练 AI 模型吗?
A: 默认情况下不会。企业订阅中,代码片段不用于模型训练。你也可以在组织策略中明确禁止"用于模型改进",进一步保证。
Q: 如果员工在公司网络外使用 Copilot,数据还受保护吗?
A: GitHub Data Protection Agreement 的保护适用于所有通过 Copilot API 传输的数据,不限于网络位置。但建议结合 VPN 策略确保员工在访问工作仓库时走企业网络。
Q: 如何让安全团队快速了解 Copilot 的权限范围?
A: 重点说明:① Copilot 只能访问用户有权限的仓库,不会越权;② Cloud Agent 的操作范围可以通过 Hooks 和配置文件限制;③ 所有 Agent 操作有审计日志可查。